Speziﬁkation von Programmen - userpages.uni-koblenz.delaemmel/oopm/slides/specification.pdf ·...

Spezifikation von ProgrammenOOPM, Ralf Lämmel

Wer ist denn das?

(C) Ralf Lämmel, OOPM, Universität Koblenz-Landau

Programmspezifikation mit Vor- und Nachbedingungen

Gesprächsprotokoll

“Joe the programmer”

“Ed the computer scientist”

Die beiden Leute führen ein Gespräch zur Korrektheit von

Programmen.

Die Frage nach der Korrektheit

q = 0; r = x; while (r > y) { r = r - y; q = q + 1; }

Ich habe hier ein Programm für die Division mit Rest.

Ist dieses Programm korrekt?

“Division mit Rest” ist zu informal.

Können Sie das formaler ausdrücken?

Was ist also die Spezifikation für Ihr Programm?

Keine Korrektheit ohne Spezifikation

Das Programm soll den Quotient q und den Rest r für die Division der natürlichen Zahlen x und y berechnen.

Haben Sie diese Spezifikation (Nachbedingung) im Sinn?

{ x == y ∗ q + r }

Programm mit Spezifikation

{ x == y ∗ q + r }Es ist dies zu zeigen:

Nachbedingung

Nach Programmausführung

gilt, dass ...

Zu schwache Vorbedingung

Das Programm ist nicht korrekt!

Es terminiert nicht für y = 0.

Terminieren soll es also auch? Sie sollten die Vorbedingung aufnehmen dass y > 0.

{ x == y ∗ q + r }

Programm mit Spezifikation V2

{ x == y ∗ q + r }

{ y > 0 }

Zusicherungen

Angenommen:

Dann ist dies zu zeigen:

Nachbedingung

Vorbedingung

Vor Programmausführung muss gelten, dass ...

Nach Programmausführung

gilt, dass ...

Zu schwache Nachbedingung + Bug

Sie wollen vielleicht, dass r < y am Programmende gilt. Ich kann Korrektheit dafür nicht beweisen. Ihre Schleifenbedingung schaut komisch aus.

Für x = 6 und y = 3 berechnet es q = 1 und r = 3 anstatt q = 2 und r = 0.

{ y > 0 }

{ x == y ∗ q + r }

(C) Ralf Lämmel, OOPM, Universität Koblenz-Landau 309

q = 0; r = x; while (r >= y) { r = r - y; q = q + 1; }

{ x == y ∗ q + r && r < y }

{ y > 0 }

Unterspezifikation

Sie solten wenigstens negative Werte ausschließen. Eventuell wollen Sie das Programm verallgemeinern.

Ich möchte das Programm mit Datentyp int implementieren. Muss ich dazu Anpassungen vornehmen?

{ y > 0 }

{ x == y ∗ q + r && r < y }

{ x >= 0 && y > 0 }

{ x == y ∗ q + r && r < y && r >= 0 && q >= 0 }

Was tun? (mit den Spezifikationen)

Dokumentation

Überprüfen der Bedingungen zur Laufzeit

Verifizieren der Bedingungen vor Laufzeit

Ableitung einer Implementation aus Spezifikation

Verwendung der Spezifikation zur Testdatengenerierung

Programm ohne Spezifikation

// Variable declarations and test dataint x = 6;int y = 3;int q;int r;

// The actual program (algorithm)q = 0;r = x;while (r >= y) {

r = r - y;q = q + 1;

// Print the resultSystem.out.println( x + " = " + y + " * " + q + " + " + r);

Programm mit Zusicherungen

... // Preconditionassert x >= 0 && y > 0;

// The actual program (algorithm)q = 0;r = x;while (r >= y) {

r = r - y;q = q + 1;

// Postconditionassert x == y * q + r && r < y && r >= 0 && q >= 0;...

Java’sZusicherungen(“Assertions”) werden zur

Laufzeit geprüft.

Java’s assert

Anweisungsform:assert BoolescherAusdruck;

Zur Laufzeit:Berechne Ausdruck.Wirf Ausnahme wenn das Resultat false ist.

Beachte:Überprüfung verlangt VM Parameter:

-enableassertions

Verwendung von Spezifikationen für Laufzeitüberprüfungen

Beispiel: Korrektheit von BubbleSort

Gegeben ist die Sortiermethode:

static void bubbleSort(int[] a) { ... }

Ist diese Methode korrekt?

Was ist das Korrektheitskriterium?

Korrektheit des Sortieralgorithmus

Für alle int[] a, b,

wobei a und b Klone voneinander sind,

gilt nach der Ausführung von bubbleSort(a),

isSorted(a)und

isPermutation(a,b)

Die Formulierung würde sich ändern, wenn bubbleSort ohne

Seiteneffekte arbeitete.

Kontrollierende Anwendung von BubbleSort

int[] b = a.clone();bubbleSort(a);assert isSorted(a) && isPermutation(a,b);

Verschieben der Zusicherungen in die Methode zum Sortieren

public static void bubbleSort(int[] a) {int[] b = a.clone();boolean swapped; // to notice swaps during a passdo {

swapped = false;for (int i = 1; i < a.length; i++)

if (a[i - 1] > a[i]) {// Swap!int swap = a[i];a[i] = a[i - 1];a[i - 1] = swap;swapped = true;

}} while (swapped); // another pass if swaps happenedassert isSorted(a) && isPermutation(a,b);

Das Ausschalten von „assert“ vermeidet nicht

das Klonen. Wir kann man dies ändern?

Beispiel: Korrektheit von Suchverfahren

Relevante AlgorithmenLineare Suche (mit Indexrückgabe)

Binäre Suche (mit Indexrückgabe)

Erfassung des Fortschritts der Suche.

Verwendung einer einfachen Hilfseigenschaft.public static boolean member(

int[] a, int x, -- Reguläre Eingabe

int from, int to) -- Einschränkung der Indizes322

Hier erfassen wir keine allgemeinen Vor- und

Nachbedingungen sondern andere Eigenschaften an

verschiedenen Stellen des Programms.

* @param a an array to search for x

* @param x the element to search in a

* @param from the start index of a for the window of searching

* @param to the end index of a for the window of searching

* @return Boolean to say whether x is a member of a

public static boolean member(int[] a, int x, int from, int to) {

for (int i=from; i<=to; i++)

if (a[i]==x)

return true;

return false;

Hilfsmethode zur Benutzung in

Spezifiaktionen. (Was ist wenn

diese Methode “falsch” ist?)

Lineare Suche ohne Zusicherungen

public static int linear(int[] a, int x) {for (int i=0; i<a.length; i++)

if (a[i] == x) return i;

return -1;}

Lineare Suche mit Zusicherungenpublic static int linear(int[] a, int x) {

for (int i=0; i<a.length; i++) {assert !member(a,x,0,i-1);if (a[i] == x) {

assert member(a,x,i,i);assert member(a,x,0,a.length-1);return i;

}assert !member(a,x,0,i);

}assert !member(a,x,0,a.length-1);return -1;

Binäre Suche ohne Zusicherungenpublic static int binary(int[] a, int x) {

int first = 0;int last = a.length - 1;while (first <= last) {

int middle = first + ((last - first) / 2);if (a[middle] < x) {

first = middle + 1;} else if (a[middle] > x) {

last = middle - 1;} else

return middle;}return -1;

public static int binary(int[] a, int x) {int first = 0;int last = a.length - 1;while (first <= last) {

int middle = first + ((last - first) / 2);if (a[middle] < x) {

assert !member(a,x,first,middle);first = middle + 1;

} else if (a[middle] > x) {assert !member(a,x,middle,last);last = middle - 1;

} elsereturn middle;

}assert !member(a,x,0,a.length-1);return -1;

Binäre Suche mit Zusicherungen

Zusammenfassung Programme mit Spezifikationen

Vor-, Nach- und „Zwischen-“ BedingungenLaufzeitüberprüfung von Spezifikationen

Auch Assertion-basiertes DebuggingAusblick

Tests als SpezifikationenStatische Verifikation von Spezifikationen

Speziﬁkation von Programmen - userpages.uni-koblenz.delaemmel/oopm/slides/specification.pdf ·...

Documents

Transcript of Speziﬁkation von Programmen - userpages.uni-koblenz.delaemmel/oopm/slides/specification.pdf ·...

Anweisungen und Datentypen Folie 1 Uwe Lämmel Einführung in die Programmierung Anweisungen und Datentypen Uwe Lämmel Fakultät für Wirtschaftswissenschaften.

OOPM, Ralf Lämmel - userpages.uni-koblenz.desoftlang/oopmcourse/slides/qa.pdf · (C) Ralf Lämmel, OOPM, Universität Koblenz-Landau Themen für die Klausur V/Ü 2 1.Sortieren 2.Algebraische

Extreme Programming 1/28 - st.cs.uni- · PDF file15/28 Testfälle als Spezifikation Im Extreme Programming werden Testfälle definiert, bevor die Komponente überhaupt implementiert

p25 – Technische Speziﬁkation MOBOTIX p25 6MP …Superweitwinkel-Objektiv MX-B041 (90 x 67 ) MX-p25-D041 nur mit Body Weitwinkel-Objektiv MX-B061 (60 x 45 ) MX-p25-D061 nur mit

WebSockets: Speziﬁkation / Implementierung · WebSocket-Protokoll in modernen Webbrowsern zum Ein-satz kommen, das bidirektionale Verbindungen zwischen Webbrowser und Webserver

RM-63 - Dolmardownload.dolmar.com/dipls/398.pdf · Seite / Page Pos. RM-63.7 Teil-Nr. Part No. No. de pièce No. de pieza Hinweise Notes Renseign. Nota Bezeichnung Speziﬁkation

Einführung in BPMN - labun.comlabun.com/fh/bpmn/bpmn-article.pdf · 2 BPMN-Elemente 2.1 Übersicht Die Speziﬁkation (siehe [3]) deﬁniert vier Gruppen von BPMN-Elementen: •Teilnehmer

Formal Verification of a Fully IEEE Compliant Floating ... · werden dann mit Hilfe ihrer prazisen¨ mathematischen Spezifikation zusammenge- setzt. Die verifizierten FPUswerden

WDP 03 2016 Laemmel - Hochschule Wismar · verarbeiten und wiederzugeben, das ist ein Forschungs- und Betätigungsfeld der Künstlichen Intelligenz (KI), vgl. Lämmel, Cleve (2012).

Technische Speziﬁkation 1-2015 - dianorm.eu€¦ · Purmo Kompaktheizkörper überzeugen. Sie verbinden hohe technische Qualität, Funktionalität und attraktives Design. Wir meinen,

Problemdefinition und -analyse · mitteilen: • Es kommt nach zwei bis drei Monaten zur Korrosion der Federringe in der gesamten Anlage. • Laut Speziﬁkation bestehen die Federringe

Thermoelemente - Ludwig Schneider · 2019-07-15 · TEMPERATURMESSUNG MIT THERMOELEMENTEN BESTELLHINWEIS Alle Thermoelemente in diesem Katalog sind gemäß ihrer technischen Speziﬁkation

IEEE 802.11s Mesh Network - €¦ · 2.1 Erweiterung des 802.11-Frames ... 1.1 Wireless Mesh Network mit direktem Path und ... (IEEE) hat seine WLAN-Speziﬁkation 802.11

Komplexität von Algorithmen - userpages.uni-koblenz.delaemmel/oopm/slides/complexity.pdf · (C) Ralf Lämmel, OOPM, Universität Koblenz-Landau Komplexitätsanalyse Unmittelbare

Modellierung und Implementation - userpages.uni-koblenz.desoftlang/oopmcourse/slides/statediagrams.pdf · (C) 2007-2018, Ralf Lämmel, Universität Koblenz-Landau UML: Uniﬁed Modeling

Spezifikation und Test - st.cs.uni-saarland.de · Software-Praktikum Andreas Zeller, Universität des Saarlandes mit Christian Lindig Spezifikation und Test Spezifikation Spezifikationsverfahren

Klassendefinition und Objekte Folie 1 Uwe Lämmel Einführung in die Programmierung Klassendefinition und Objekte Uwe Lämmel Fakultät für Wirtschaftswissenschaften.

Ein- und Ausgabe - userpages.uni-koblenz.desoftlang/oopmcourse/slides/io.pdf · (C) 2007-2018, Ralf Lämmel, Universität Koblenz-Landau java.applet Applet-Programmierung java.awt

Vorwärts gerichtete Neuronale Netze Folie 1 Wissensextraktion mittels künstlicher neuronaler Netze Vorwärts gerichtete NN Uwe Lämmel Wismar Business School.

Spare Parts List - DolmarSeite / Page Pos. GE-1 100 Teil-Nr. Part No. No. de pièce No. de pieza Hinweise Notes Renseign. Nota Bezeichnung Speziﬁkation Speciﬁcation Description